ASP.NET下优化Session的使用

我们知道一个页面去存取用户的Session是非常耗费性能的，任何一篇asp.net performance方面的文档都会对asp.net的Session使用作重要说明，我这里总结一下：
主要分三个方面：
一.尽量避免使用Session

有三种方法：
1）不需要Session的页面，在页面声明部分指出EnableSessionState=false;
2)如果你的某个页面只是读Session,可以在页面头部声明EnableSessionState=Readonly
3）如果你整个站点绝大多数页面都不用Session,可以使用在Web.config里配置<page enableSessionState=false />，这样整个站点就不会在使用Session了，如果有个别页面需要Session，再在需要的页面加上EnableSessionState=true

另外还有一个小技巧，大家有没有注意到baidu.com的贴吧，如果你只是浏览帖子的话，你是看不到验证吗的，这里除了要节省生成验证码的开销外，还节省了Session的读写开销

二、使用加密Cookie来也作为Session用
我们在使用asp.net Form认证的时候，要在用户浏览器里种下一个加密的Ticket, 这个Ticket就是一个加密的Cookie.
当然要使用加密Cookie，你需要在Web.config或者Machine.config里配置MachineKey和加密密钥，关于MachineKey方面的文章很多，这里就不罗嗦了。
另外，使用cookie做认证的时候有两点需要注意：
1）要求高安全性的网站，如交易网站。最好不要在Cookie里保存敏感信息，以免密码泄露造成现在的风险。
2）加密的Ticket的Cookie的数量有些大，要注意控制，不要放太多的数据在Cookie里。

三、更加精细的控制Session的使用，使你站点的Session使用最经济
在不需要Session的地方，Disable SessionId, 如：我们浏览(get方式)一个帖子，这个时候不需要Session，只要在发表回复的时候才需要Session，但有时候这是同一个页面，无法用上面的页面声明的方式来达到这个目的了，这个时候我们就可以采取一个比较诡异的方式，来迫使asp.net HttpSessionStateModule不去读写Session
如下实现：
public class SessionDisablementIDManager : SessionIDManager
{
    // 重写Session ID manager的ID管理行为
    public override String GetSessionID(HttpContext context)
    {
       
       //当当前的页面请求不需要Session状态的时候，我们不要返回SessionId,
       //SessoinID都没有了，你说SessionStateModule会怎么做？哈哈！
           if (ShouldSkipSessionState(context))
            return null;
       
       // 否则，调用asp.net内建的Session ID生成器来生成当前请求的SessionID，asp.net真是月来越灵活了！
           else
             return base.GetSessionID(context);
    }
   
    protected virtual bool ShouldSkipSessionState(HttpContext context)
    {
        // 决定当前请求使用要跳过Session State
     
    }
}
最后配置一下web.cofnig
<configuration>
    <system.web>
        <sessionState
             sessionIDManagerType="MySessionState. SessionDisablementIDManager"/>
                     </system.web>
</configuration>